Nach knapp vierjährigem Gesetzgebungsprozess
verabschiedete das Parlament Ende September 2020 die Revision des
Schweizer Datenschutzrechts (DSG-Revision). Das revidierte
Datenschutzgesetz (DSG) führt zu zahlreichen Angleichungen an
die EU-Datenschutzgrundverordnung (DSGVO), behält aber
weiterhin eine eigene Grundkonzeption und weicht auch in diversen
anderen Punkten von dieser ab. Beispiele wichtiger Neuerungen der
DSG-Revision sind die wesentlich strengeren Sanktionen, erweiterte
Informationspflichten, die Pflicht zur Erstellung eines
Bearbeitungsverzeichnisses sowie der Ausbau der Rechte der
betroffenen Person. Eine aktualisierte Gegenüberstellung der
DSG-Revision, des geltenden DSG und der DSGVO finden Sie hier. Auf welches
Datum der Bundesrat das neue Datenschutzgesetz in Kraft setzen
wird, ist derzeit aber noch nicht bekannt.
Etappen der DSG-Revision
Mit dem Hauptziel der Angleichung des Schweizer Datenschutzrechts an das Niveau der EU und der Anpassung an die modernisierte Datenschutzkonvention des Europarates (SEV 108) durchlief die DSG-Revision die folgenden Etappen:
- Ende Dezember 2016 eröffnete der Bundesrat die Vernehmlassung zum Vorentwurf für eine Totalrevision des Schweizer Datenschutzgesetzes (DSG) (MLL-News vom 6.1.2017 und MLL-News vom 14.2.2017)
- Im September 2017 verabschiedete der Bundesrat den Gesetzesentwurf zur DSG-Revision sowie die dazugehörige Botschaft (MLL-News vom 21.9.2017)
- 2019 fanden die ersten Debatten im Parlament statt, zunächst im Nationalrat (MLL-News vom 27.11.2020), dann im Ständerat. Dabei wurden Abweichungen zum Entwurf des Bundesrats und die ersten Eckpunkte des revidierten Datenschutzgesetzes beschlossen (MLL-News vom 13.2.2020)
- Danach folgte 2020 das
Differenzbereinigungsverfahren (vgl. MLL-News vom
29.5.2020, und MLL-News vom
29.7.2020) und die Einigungskonferenz zwischen den Räten,
in welcher sich die Räte auf den nun vorliegenden Schlussabstimmungstext
des revidierten Datenschutzgesetzes (nDSG) verständigen
konnten (MLL-News
25.9.2020).
Verworfene Gesetzesänderungen
Während dieses Gesetzgebungsprozesses wurden auch einige vorgeschlagene Regelungen wieder ersatzlos gestrichen:
- Dies gilt z.B. für die im bundesrätlichen Entwurf vorgesehene Regelung zu Daten verstorbener Personen, die bereits im Vorfeld viel Kritik geerntet hatte (MLL-News vom 17.9.2019)
- Der zwischenzeitlich im Raum gestandene Vorschlag der Staatspolitischen Kommission des Ständerates, wonach für jede Weitergabe von Daten eine Einwilligung erforderlich sei, sorgte für viel Stirnrunzeln (MLL-News vom 18.12.2019) und wurde ebenfalls aus der DSG-Revision gestrichen. Der Vorschlag führte im Endeffekt aber zur Einführung eines (eingeschränkten) datenschutzrechtlichen Konzernprivilegs (siehe dazu unten)
- Verworfen wurde schliesslich auch der Vorschlag, dass der Eidg.
Datenschutzbeauftragte (EDÖB) Best
Practice-Empfehlungen erlassen bzw. für verbindlich
erklären kann. Neu ist nur noch das Recht zur Unterbreitung
von Verhaltenskodizes an den EDÖB und dessen Pflicht zur
Veröffentlichung seiner Stellungnahme vorgesehen.
Wichtigste neue Regelungen der DSG Revision
Das neue Schweizer Datenschutzrecht bringt gleichwohl zahlreiche
Neuerungen mit sich, von denen die wichtigsten nachfolgend
erläutert werden. Eine Übersicht über die
DSG-Revision, d.h. der unter dem nDSG geltenden Regelungen,
inklusive Vergleich zum geltenden DSG und der
EU-Datenschutzgrundverordnung (DSGVO), ist in
Tabellenform hier
abrufbar.
1. Anwendungsbereich: Auswirkungsprinzip, Vertretung und keine Daten juristischer Personen
Im nDSG bestimmt sich der räumliche Geltungsbereich neu explizit nach dem sog. Auswirkungsprinzip. D.h. das Gesetz wird auch für Unternehmen mit Sitz im Ausland anwendbar sein, wenn diese Personendaten bearbeiten und sich diese Datenbearbeitung in der Schweiz auswirkt. Für die zivil- und strafrechtliche Durchsetzung bleiben aber die bisherigen Grundsätze bestehen.
Neu können Unternehmen ohne Sitz in der Schweiz zudem dazu verpflichtet sein, eine Vertretung in der Schweiz zu bezeichnen, wenn diese Personendaten von Personen in der Schweiz bearbeiten. Diese Pflicht wird ausgelöst, wenn die Datenbearbeitung im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen (sog. Angebotsausrichtung) oder der Verhaltensbeobachtung dieser Personen steht. Zudem muss es sich um eine umfangreiche und regelmässige Bearbeitung handeln, die ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.
Nicht mehr anwendbar ist das nDSG künftig auf Daten
juristischer Personen. Damit wird diese Schweizer
Besonderheit erfreulicherweise abgeschafft. Die Auswirkungen in der
Praxis sollten aber nicht überschätzt werden, erfolgt
doch bspw. auch B2B-Verkehr regelmässig auch eine Bearbeitung
von Daten natürlicher Personen (z.B. der
Ansprechpartner).
2. Neue besonders schützenswerte Personendaten
Die Definition der besonders schützenswerten Personendaten
wurde gegenüber dem gelten DSG erweitert und umfasst
künftig auch Daten über die Ethnie, genetische
Daten sowie biometrische Daten, die eine natürliche Person
eindeutig identifizieren. Die einzelnen Kategorien
führten für viele Diskussionen (z.B. Streichung
gewerkschaftlicher Daten und Massnahmen der sozialen Hilfe; MLL-News vom
29.5.2020) und waren teilweise bis im letzten Moment umstritten
(z.B. Einschränkung der genetischen Daten; MLL-News 25.9.2020).
Die Kategorie der Persönlichkeitsprofile", für
welche bisher die gleich strengen erhöhten Anforderungen
gelten, wie für besonders schützenswerte Personendaten,
wird ferner im nDSG nicht enthalten sein (vgl. aber die Regelung
zum Profiling unten).
3. Regelung des Profilings
Das revidierte Datenschutzgesetz enthält neu eine Legaldefinition des Profiling, die derjenigen der EU-DSGVO entspricht und im bisherigen DSG nicht enthalten war. Als Profiling gilt demnach:
"jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen".
Im Vorentwurf hatte der Bundesrat ursprünglich vorgeschlagen, dass das Profiling künftig stets nur mit einem Rechtfertigungsgrund, wie der Einwilligung der Betroffenen, zulässig sein soll. Gewisse Äusserungen im Parlament haben ein ähnliches Verständnis impliziert, obwohl dieser Vorschlag des Bundesrats nicht Eingang ins Gesetz fand. Somit müsste das Profiling auch künftig ohne Einwilligung zulässig sein. Dies gilt auch für das sog. Profiling mit hohem Risiko", auch wenn die Debatten im Parlament zu einer gewissen Unsicherheit geführt haben und die Frage noch zu Diskussionen in der Literatur und Rechtsprechung führen dürfte. Nach unserer Einschätzung ist aber davon auszugehen, dass das Parlament auch in Bezug auf das Profiling (mit hohem Risiko) nicht von der etablierten Grundkonzeption des Schweizer Datenschutzrechts abweichen wollte.
Für private Verantwortliche wird eine Einwilligung oder andere Rechtfertigung für ein Profiling (mit hohem Risiko) somit nur bei einer persönlichkeitsverletzenden Datenbearbeitung erforderlich sein. Je nach Art und Umfang des Profilings kann dies allerdings relativ rasch der Fall und damit eine Einwilligung oder ein anderer Rechtfertigungsgrund erforderlich sein. Da beim Rechtfertigungsgrund des überwiegenden Interesses häufig grosse Unsicherheiten bestehen, dürfte auch künftig nicht selten das Einholen einer Einwilligung zu empfehlen sein. Muss von einem "Profiling mit hohem Risiko" ausgegangen werden, dann genügt zudem nur eine ausdrückliche Einwilligung als (eventuell erforderliche) Rechtfertigung.
Das Profiling mit hohem Risiko war einer der Hauptstreitpunkte, an dem die DSG Revision beinahe noch gescheitert wäre (MLL-News vom 25.9.2020). Das Vorliegen eines Profilings mit hohem Risiko ist neben der Ausdrücklichkeit einer Einwilligung auch für den Rechtfertigungsgrund der Bonitätsprüfung relevant (siehe unten). Im revidierten DSG gilt als Profiling mit hohem Risiko:
"Profiling, das ein hohes Risiko für die
Persönlichkeit oder die Grundrechte der betroffenen Person mit
sich bringt, indem es zu einer Verknüpfung von Daten
führt, die eine Beurteilung wesentlicher Aspekte der
Persönlichkeit einer natürlichen Person
erlaubt".
4. Erweiterte Informationspflicht
Die Informationspflicht wird gegenüber dem bisherigen Recht stark ausgebaut. Das nDSG enthält aber bedauerlicherweise keine abschliessende Liste aller Pflichtinformationen, die der betroffenen Person bei der Beschaffung mitgeteilt werden müssen. Es ist daher im Einzelfall zu prüfen, welche Angaben erforderlich sind, wobei eine Orientierung am Katalog der EU-DSGVO in Frage kommen könnte.
Mindestens mitzuteilen sind jedenfalls folgende Pflichtangaben:
- die Identität und die Kontaktdaten des Verantwortlichen
- die Bearbeitungszwecke
- bei einer Bekanntgabe von Daten: die Empfänger oder die Kategorien von Empfänger
- bei einer Datenbekanntgabe ins Ausland zusätzlich: der Staat oder das internationale Organ und ggf. die Garantie für einen geeigneten Datenschutz oder den Ausnahmetatbestand, falls keine solchen Garantien gegeben sind
- bei indirekten Datenerhebung (d.h. Daten nicht bei der betroffenen Person selbst erhoben werden, zusätzlich: die Kategorien der bearbeiteten Personendaten
- die Durchführung automatisierter
Einzelentscheidungen, d.h. eine Entscheidung, die
ausschliesslich auf einer automatisierten Bearbeitung beruht und
die für die betroffene Person mit einer Rechtsfolge verbunden
ist oder sie erheblich beeinträchtigt.
Im nDSG wird im Übrigen nicht geregelt, auf welche Art und
Weise die Information gegenüber der betroffenen Person zu
erfolgen hat. Es gilt somit zwar kein gesetzliches Formerfordernis
zu beachten, es ist aber eine "angemessene" Form zu
wählen, welche dem Zweck einer transparenten Datenbearbeitung
gerecht wird. Eine Datenschutzerklärung auf
der Website wird dabei aber auch nicht in jedem Fall ausreichen (MLL-News vom
4.8.2020).
5. Ausbau der Betroffenenrechte
Neben der Informationspflicht werden auch die Rechte der Betroffenen im nDSG weiter ausgebaut. Neu wird ähnlich wie in der DSGVO ein Recht der betroffenen Person auf Datenherausgabe und -übertragung statuiert. Betroffene Personen werden verlangen können, dass die von ihnen bekanntgegebenen Daten in einem gängigen elektronischen Format herausgegeben oder an andere Anbieter übermittelt werden. Dieses Recht gilt jedoch nicht voraussetzungslos. Namentlich aufgrund der gesetzlichen Anforderungen des "gängigen elektronischen Formats" sowie der "Verhältnismässigkeit" wird sich zeigen müssen, wie häufig dieses Recht von den betroffenen Personen im Streitfalle auch tatsächlich angerufen werden kann (vgl. dazu MLL-News vom 4.8.2020).
Darüber hinaus hat die betroffene Position bei
automatisierten Einzelentscheidungen (s. Informationspflicht, oben)
ein Widerspruchsrecht, wonach sie ihre Position
hierzu darlegen darf und verlangen kann, dass die automatisierte
Einzelentscheidung von einer natürlichen Person
überprüft wird.
6. Regelungen für konzerninterne Weitergabe von Personendaten - Konzernprivileg?
Für viel Gesprächsstoff sorgte auch die künftige
Regelung der konzerninternen Weitergabe von Personendaten und damit
die Frage, ob ein sog. Konzernprivileg eingeführt werden soll
(MLL-News vom
18.12.2019). Letztlich hat ein solches Konzernprivileg
allerdings nur in sehr eingeschränkter Form Eingang in das
neue Gesetz gefunden. So gelten für den konzerninternen
Datenaustausch unter dem nDSG zwar Ausnahmen von der
Informationspflicht und dem Auskunftsrecht; trotzdem kann eine
konzerninterne Weitergabe auch künftig
persönlichkeitsverletzend und in diesem Fall nur bei Vorliegen
eines Rechtfertigungsgrunds zulässig sein. Dabei gilt der
besondere Rechtfertigungsgrund für die konzerninterne
Bearbeitung nur, wenn die betreffenden Daten und die Art ihrer
Bearbeitung "für den wirtschaftlichen Wettbewerb"
relevant und erforderlich sind. Auch konzerninterne Bearbeitungen
müssen deshalb stets im Einzelfall sorgfältig auf Ihre
Rechtmässigkeit geprüft werden.
7. Rechtfertigungsgrund der Bonitätsprüfung
Für die Durchführung einer Bonitätsprüfung werden in Art. 30 Abs. 2 lit. c nDSG besondere, strengere Voraussetzungen für die Annahme eines überwiegenden Interesses statuiert. Eine Bonitätsprüfung ist demnach gerechtfertigt, wenn:
- keine besonders schützenswerten Personendaten bearbeitet werden und es sich um kein Profiling mit hohem Risiko handelt
- die Daten Dritten nur bekanntgegeben werden, wenn diese die Daten für den Abschluss oder die Abwicklung eines Vertrags mit der betroffenen Person benötigen
- die Daten nicht älter als zehn Jahre sind
- die betroffene Person volljährig ist.
8. Verzeichnis sämtlicher Datenbearbeitungen
Künftig wird - wie unter der DSGVO - auch nach Schweizer Recht ein Verzeichnis sämtlicher Datenbearbeitungen zu führen sein (Verzeichnis der Bearbeitungstätigkeiten). Das Führen eines Datenbearbeitungsverzeichnisses wird für die meisten Unternehmen mutmasslich zum grössten Aufwand bei der Umsetzung führen, falls nicht bereits entsprechende Massnahmen für die DSGVO-Compliance getroffen wurden. Der grosse Aufwand folgt daraus, dass sämtliche Datenbearbeitungen des gesamten Unternehmens erfasst und genaue Angaben dazu gemacht sowie laufend aktualisiert werden müssen. Der Mindestinhalt dieses Bearbeitungsverzeichnisses ist gesetzlich sowohl für den Verantwortlichen als auch den Auftragsbearbeiter vorgegeben.
Das Bearbeitungsverzeichnis des Verantwortlichen muss folgende Mindestangaben enthalten:
- die Identität des Verantwortlichen;
- den Bearbeitungszweck
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten
- die Kategorien der Empfängerinnen und Empfänger
- wenn möglich" die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer
- wenn möglich" eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit (geeignete technische und organisatorische Massnahmen, die es ermöglichen Verletzungen der Datensicherheit zu vermeiden)
- falls die Daten ins Ausland bekanntgegeben werden, die Angabe
des Staates sowie die Garantien, durch die ein geeigneter
Datenschutz gewährleistet wird.
9. Weitere neue Pflichten des Verantwortlichen
Ebenfalls neu aufgenommen wurden verschiedene weitere Pflichten, die mit der Bearbeitung von Personendaten einhergehen (MLL-News vom 15. Juni 2020):
- Data Breach Notification: Verletzungen der
Datensicherheit (z.B. Datenverluste), die voraussichtlich zu einem
hohen Risiko für die Persönlichkeit oder die Grundrechte
der betroffenen Person führen, sind unverzüglich dem
EDÖB und gegebenenfalls der betroffenen Person zu
melden.
- Datenschutz-Folgenabschätzungen: Wenn
eine beabsichtigte Datenbearbeitung ein hohes Risiko einer
Verletzung der Persönlichkeit oder der Grundrechte einer
betroffenen Person mit sich bringt, ist der Verantwortliche dazu
verpflichtet, die Risiken einer solchen Bearbeitung in einer
Datenschutz-Folgeabschätzung zu analysieren. Das nDSG geht
davon aus, dass insbesondere bei der Verwendung neuer Technologien
und einer umfangreichen Bearbeitung besonders schützenswerter
Personendaten oder bei der systematischen Überwachung
umfangreicher öffentlicher Bereiche von einem hohen Risiko
ausgegangen werden muss.
- Privacy-by-Design und -by-Default: Wie in der
DSGVO sind auch im nDSG explizit die Grundsätze des
"Datenschutzes durch Technik" und "Datenschutz durch
datenschutz-freundliche Voreinstellungen" verankert. Bei der
Verarbeitung von Personendaten müssen "ab der
Planung" angemessene technische und organisatorische
Massnahmen getroffen werden, welche die Umsetzung von
Datenschutzgrundsätzen (z.B. Datenminimierung) in diesen
Systemen sicherstellen (Privacy-by-Design). Auch die
Voreinstellungen, beispielsweise bei Apps oder Websites, sind so
auszugestalten, "dass die Bearbeitung der Personendaten auf
das für den Verwendungszweck nötige Mindestmass
beschränkt ist" (Privacy-by-Default).
10. Verschärfung der Sanktionen und Ausbau der Befugnisse des EDÖB
Das nDSG sieht strafrechtliche Sanktionen in Form einer Busse von bis zu CHF 250'000 vor. Darüber hinaus kann der EDÖB ein verwaltungsrechtliches Untersuchungsverfahren eröffnen und Verfügungen erlassen. Auch wenn der EDÖB selbst keine Sanktionen anordnen kann, drohen auch bei Missachtung einer Anordnung des EDÖB, also bspw. bei der Weiterbearbeitung von Daten trotz Verbot, Strafsanktionen in der gleichen Höhe. Zuständig für die Durchsetzung der strafrechtlichen Sanktionen werden die kantonalen Strafverfolgungsbehörden sein. Möglich sind schliesslich weiterhin auch zivilrechtliche Klagen auf Beseitigung, Unterlassung oder Schadenersatz.
Im Gesetzgebungsverfahren wurde zum Ausdruck gebracht, dass die
strafrechtlichen Sanktionen hauptsächlich auf
Leitungspersonen und nicht auf die
ausführenden Mitarbeiter abzielen. Zugleich wurde aber nicht
gänzlich ausgeschlossen, dass es auch Fälle geben kann,
in welchen die Sanktion Mitarbeitern ohne Leitungsfunktion
auferlegt werden könnte. Bei Widerhandlungen, bei denen
höchstens eine Busse von CHF 50'000 in Betracht fällt
und der Aufwand zur Ermittlung der strafbaren Person innerhalb des
Geschäftsbetriebs unverhältnismässig wäre, kann
schliesslich auch das Unternehmen anstelle der natürlichen
Person zur Zahlung der Busse verurteilt werden.
Ausblick
Mit der Annahme des Schlussabstimmungstextes durch beiden Räte steht somit fest, welchen Vorschriften die Datenbearbeitungen der Unternehmen in der Schweiz künftig entsprechen müssen. Auf wann der Bundesrat das revidierte DSG in Kraft setzen wird, ist allerdings noch unklar. Bis der Bundesrat das Datum des Inkrafttretens mitteilt, wird aber noch das Ablaufen der Referendumsfrist (14. Januar 2021) abzuwarten sein. Das konkrete Datum hat insbesondere deshalb grosse Bedeutung, weil im nDSG keine Übergangsfristen vorgesehen sind. Vor diesem Hintergrund empfiehlt sich, die entsprechenden Compliance-Projekte rasch voranzutreiben oder allerspätestens jetzt zu lancieren (vgl. dazu auch MLL-News vom 15. Juli 2020).
Weitere Informationen:
- Schweizerisches Datenschutzgesetz (DSG)
- EU-Datenschutzgrundverordnung (DSGVO)
- Schlussabstimmungstext nDSG
- Übersicht DSG Revision in Tabellenform
- MLL-News vom 6.1.2017: Revision Datenschutzgesetz – Vernehmlassung eröffnet"
- MLL-News vom 14.2.2017: Totalrevision DSG: wichtigste Eckpunkte des Vernehmlassungsentwurfes für ein neues Schweizer Datenschutzgesetz"
- MLL-News vom 21.9.2017: Totalrevision DSG: Bundesrat veröffentlicht Gesetzesentwurf und Botschaft"
- MLL-News vom 17.9.2019: Revision DSG: Kommission des Nationalrates schliesst Beratung ab"
- MLL-News vom 18.12.2019: DSG-Revision: SPK-SR verlangt für jede Weitergabe von Daten eine Einwilligung - aber mit Konzernprivileg?"
- MLL-News vom 13.2.2020: DSG-Revision: Erste Eckpunkte des neuen Datenschutzgesetzes stehen fest
- MLL-News vom 15.6.2020: DSG-Revision: FAQ Teil 1"
- MLL-News vom 4.8.2020: DSG-Revision: FAQ Teil 2"
- MLL-News vom 25.9.2020: DSG Revision verabschiedet - Differenzen beim Profiling bereinigt"
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.